Apache Strust2安全漏洞公告

Apache Strust2又爆高危漏洞
（S2-057）

漏洞描述

北京时间2018年8月23日，Apache Strust2发布最新安全公告，Apache Struts2 存在远程代码执行的高危漏洞。该漏洞由Semmle Security Research team的安全研究员汇报，漏洞编号为CVE-2018-11776（S2-057）。根据通告内容，漏洞成因为Struts2在XML配置中如果namespace值未设置且（Action Configuration）中未设置或用通配符namespace时可能会导致远程代码执行。

漏洞原理

Struts2应用程序的配置文件中如果namespace值未设置且（ActionConfiguration）中未设置或使用通配符的namespace时可能会导致远程代码执行。该漏洞的攻击点包括Redirect action、Action chaining、Postbackresult，这3种都属于struts2的跳转方式，用户可通过这3种传入精心构造payload来发起攻击。

漏洞验证

根据官方发布的公告，触发此漏洞需要一定的前提条件，配置文件 struts-actionchaining.xml的配置如下：

访问特定URL触发漏洞：

访问后，页面进行了跳转，其中的${(12*12)}表达式被执行：

解决方案

目前官方发布了新版本，修复了该漏洞，建议升级Struts到2.3.35版本或2.5.17版本（该版本更新不存在兼容性问题）。

官方新版本下载地址：

http://mirror.bit.edu.cn/apache/struts/

网络及系统层防护建议：

建议结合使用安全分析平台，例如锐捷RG-BDS大数据安全平台等，对现网异常流量、日志以及安全设备告警进行统一监测分析，及时发现网络威胁，防患于未然。

此外，针对此漏洞，锐捷可以免费提供远程漏洞检测服务。

如您针对此漏洞在检测或修复过程中存在疑问，欢迎咨询锐捷安全产品事业部。